如何使用网络监视器捕获网络通信量

文章翻译 文章翻译
文章编号: 812953 - 查看本文应用于的产品
注意
本文适用于 Windows 2000。在 2010 年 7 月 13 日结束的 Windows 2000 的支持。" Windows 2000 支持最终的解决方案中心 规划您的迁移战略,从 Windows 2000 的起始点。有关详细信息,请参阅 Microsoft 技术支持生命周期策略.
展开全部 | 关闭全部

本文内容

概要

本文将讨论几种时要使用的最佳实践您可以使用 Microsoft 网络监视器 (Netmon.exe) 来捕获网络通信。

可能具有以下特征的任何网络跟踪防止捕获网络通信的成功分析:
  • 网络跟踪不包含所有必要的网络通讯量。
  • 它包含太多不必要的网络通信。
  • 它并未按计算机名称和地址受影响的计算机的信息。

定义

这篇文章中使用了以下定义:
  • 捕获(或跟踪): 网络流量收集和使用 Microsoft 保存网络监视器 (Netmon.exe)。
  • 监控计算机: 运行网络监视器的计算机。
  • 目标计算机: 的计算机的网络通信 Netmon.exe 捕获。
  • 目标地址: 目标计算机的特定协议地址。

让目标计算机的通信监控计算机

如果您没有在目标计算机上运行网络监视器请确保从目标计算机的所有网络通信到可用监视计算机的网络适配器。为此,在以太网环境中,监视计算机和目标计算机的连接网络集线器。如果在计算机监视器和目标计算机上 (用于交换网络它们所连接的示例中,一个以太网交换机),到的所有网络都通信然后,从目标计算机可能不会监视计算机中可用的。

注意通常情况下,集线器提供给所有的所有网络数据包网络接口 (或端口) 和交换机提供了对所有的数据包目标的端口。更复杂的交换机可能允许多路广播数据包的选项筛选和捕获网络的高级的端口到端口桥接和监视。

地址数据库

若要查找并保存目标计算机地址:

Post-Capture 地址集合

  1. 如果看不到网络捕获 (例如,如果您单击 停止 在上 捕获 而不是菜单停止并查看或者捕获触发器强制中),单击显示捕获的数据 在上 捕获 菜单或按 F12 键以显示捕获的数据。
  2. 在上 显示 菜单上,单击 查找所有名称.
  3. 上条消息表明了一定数量的名称捕获的数据中找到,请单击 确定.
  4. 保存地址数据库,如中所述将地址数据库保存 部分这篇文章。

将地址数据库保存

地址数据库文件可能会变得不准确如果目标计算机地址更改。如果可能发生此动态主机配置协议 (DHCP) 租约过期或更换网络适配器。因此,Microsoft 建议您将特定的地址数据库保存到网络监视器捕获。

若要保存的网络监视器在内存地址.adr 文件的数据库:
  1. 在网络监视器中,单击 地址 在上捕获 菜单。

    注意如果 捕获: n(摘要) 对话框处于打开状态, 捕获 没有菜单不会出现。
  2. 单击 保存中, 键入一个描述性名称文件的名称 框中,然后单击保存.

Pre-Capture 地址集合: 目标计算机是网络上

  1. 在网络监视器中,单击 从地址解析Name 在上 工具 菜单。

    注意此命令才可用的网络监视器版本中提供了 Microsoft 系统管理服务器 (SMS)。
  2. 输入在目标计算机的名称Name 列表中,然后单击解决.

    根据网络和目标计算机网络监视器配置和可用的名称解析选项,可能会例如,以太网、 令牌环、 IP 和 IPX/XNS 的列表典型地址与目标计算机相关联。
  3. 单击 关闭然后保存该地址数据库。

Pre-Capture 地址集合: 目标计算机与网络断开时

若要使用下面的过程,您必须知道目标地址。Microsoft 建议您使用的媒体访问控制 (MAC) 地址目标计算机。捕获筛选器设置为特定协议如 IP,可能会导致网络监视器忽略如 IPX/XNS 其他协议通讯。
  1. 在上 捕获 菜单上,单击地址然后单击 添加.
  2. 在中 Name 框中,键入的名称目标计算机。
  3. 键入目标计算机中的地址地址 框中,例如,键入的 IP 地址192.247.26.40.
  4. 在中 键入 列表中,单击的类型在中使用的地址 地址 框中。例如,单击IP.
  5. 单击 确定 若要将地址添加到网络监视内存中的地址数据库。
  6. 保存地址数据库。

捕获筛选器

下面的示例演示如何将几种常见的配置捕获筛选器。Microsoft 建议为 MAC 设置筛选器目标计算机 (如以太网地址) 的地址有可能。对于特定协议如 IP,将导致在网络上捕获筛选器集若要忽略其他协议通信例如 IPX/XNS 的监视器。

捕获与目标计算机的所有通信

  1. 在上 捕获 菜单上,单击筛选器.
  2. 双击 和 (地址对)节点。
  3. 在中 Name 下列表 工作站1单击目标计算机所需的数据的名称收集。
  4. 在下 方向单击<--></-->然后单击 确定.

捕获所有通信之间两个目标计算机

  1. 在上 捕获 菜单上,单击筛选器.
  2. 双击 和 (地址对)节点。
  3. 在中 Name 下列表 工作站1单击目标计算机所需的数据的名称收集。
  4. 在下 方向单击<--></-->.
  5. 在中 Name 下列表 工作站2单击另一台目标计算机所需的数据的名称收集。
  6. 单击 确定然后单击确定.

保存捕获筛选程序

若要将网络监视器捕获筛选程序保存到.cf 文件中:
  1. 在上 捕获 菜单上,单击筛选器.
  2. 单击 保存中, 键入一个描述性名称文件的名称 框中,然后单击 保存.

捕获缓冲区

默认情况下,网络监视器可以保存捕获的 1 gb(GB)。若要更改为 1 MB 的默认设置,请单击 缓冲区设置 在网络监视器 捕获 菜单。
  • 验证足以捕获缓冲区大小足够的网络通讯量。若要确定典型的比较基准,请设置合适捕获筛选程序,对工作的客户端,然后再执行测试捕获。如果已保存的捕获缓冲区设置为相同的大小,您必须进行更大的缓冲区。一般的规则是以增加一倍的缓冲区两个。
  • 验证虚拟内存 (分页文件) 的设置监视计算机可以处理到所需的最大大小保存。

捕获触发器

捕获触发器通常其所在位置的情况下设置难防止致使捕获缓冲区溢出。这经常发生如果满足下列条件之一为真:
  • 您不能可靠地重现您的问题调查使用的特定过程。
  • 您不能有效地协调在监视器上的操作和目标计算机。
  • 您必须捕获所有通信和负载加载的服务器。例如,您必须执行此操作来诊断文件锁定冲突。
若要设计捕获触发器,您通常需要派生一个字节从示例数据包特定偏移量的模式。例如,偏移量SMB 系统错误状态代码是不同的 NBT (NetBIOS 传输通过 IP) 和直接承载 SMB (TCP/UDP 端口 445)。下面的示例演示如何设置停止捕捉,当您尝试连接到一个捕获触发器在现有的服务器上不存在共享。此示例不包含任何捕获筛选器的详细信息。

示例错误消息是 WIN32 错误代码 0xC00000CC。SMB 中捕获的错误代码将显示状态代码系统错误字段作为 STATUS_BAD_NETWORK_NAME。此错误是在中定义ntstatus.h。Microsoft 软件开发工具包 (SDK) 包括这定义。有关其他信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/msdownload/platformsdk/sdkupdate/
有关其他信息,请单击下面的文章编号,查看 Microsoft 知识库中相应的文章:
113996信息: 将 NT 状态错误代码映射到 Win32 错误代码
  1. 在监视计算机上:
    1. 启动网络监视器。
    2. 在上 捕获 菜单上,单击 触发器.
    3. 在下 在触发单击 模式匹配.
    4. 在下 模式单击 从帧的开头然后单击 十六进制.
    5. 在中 偏移值 (十六进制) 框中键入 3f.
    6. 在中 模式 框中键入 cc0000c0

      注意: 小端字节序字节模式等同于错误 dword 值0xC00000CC。
    7. 在下 触发器操作单击 停止捕获然后单击 确定.
    8. 在上 捕获 菜单上,单击 开始.
  2. 在目标计算机上:
    1. 单击 开始然后单击 运行.
    2. 在中 打开 框中键入 \\服务器名\无效的共享名,在何处 服务器名 是一个有效的服务器名称和位置 无效的共享名 是不存在的名称共享。
    3. 单击 确定.上一条消息,指出网络名称不能找到单击 确定
  3. 在监视计算机上:
    1. 捕获将自动停止。在上 文件 菜单上,单击 另存为.
    2. 键入一个描述性名称,在捕获 文件的名称 框中,然后单击 保存.

疑难解答

  • 保存捕获的网络通信时要使用描述性名称。

    当您保存的网络监视器捕获时,非常有用若要使用描述性的文件名。例如:
    Computer1_connect_failure_05_dec_2002.adr
    虽然捕获文件中包含一天的时间,但可能不会日期是很明显,也可验证的尤其是当该文件被修改。您可能在分析过程中修改捕获文件。例如,服务器配对消息块 (SMB) 客户端或服务器数据包取决于 MAC 地址。A客户端和服务器计算机之间的路由器可能会遮蔽的 MAC 地址。网络监视器可能不完全分析这种情况下,某些响应为示例分布式文件系统 (DFS) 参照响应。某些版本的网络监视器允许您编辑捕获。结果是,您可以替换路由器的 MAC 地址与目标服务器。这就允许 SMB若要指定的数据包分成更具可读性的窗体的分析器。
  • 确保计算机之间的同步时钟。

    对于许多诊断过程,必须有一个事件或调试组件,网络监视器跟踪的问题。到成功地交叉引用的其他日志文件使用网络监视器跟踪您必须具有的时钟同步的计算机之间。
  • 保存的 IP 地址信息。

    因为 DHCP 租约期限可能会导致 IP 地址客户端计算机上的更改,您必须记录或保存相关的 IP 地址捕获过程网络监视器中的信息。
  • 尝试在问题发生前启动捕获。

    捕获的都必需而充分的通信文档的问题。若要执行此操作,您必须启动捕获进行之前第一个连接两个目标计算机,然后停止它之后出现问题的现象。例如,使用 SMB 协议中,文件操作对句柄执行操作。若要知道文件的名称,必须捕获文件打开(或创建) 操作。
  • 尝试捕获"成功"和"失败"的跟踪。

    如果可以,捕获的跟踪时出现问题,它不会发生。它是最适合用来捕获这些针对同一跟踪目标计算机。如果不能这样做,请尝试从最近吃掉可以配置和网络环境,您可以创建。对于示例中,这两个目标计算机应与同一服务器上,或相同的客户端计算机应与同样配置服务器。
  • 记录生成大量网络通信的操作。

    记录您在目标系统执行的操作生成大量网络通信的计算机。例如,在 IP环境可以简化用户捕获的交叉引用活动、 程序活动或批处理文件的活动。为此,请执行前活动,唯一的 IP 地址将一次性ping命令,然后之后的活动。


参考

有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
810156安装网络监视器后出现找不到网络驱动程序错误消息
261327 如何将更多的分析程序添加到网络监视器
164961 网络监视器安装程序找不到以前版本的安装
有关网络的其他信息监视 Windows XP 中包括捕获工具,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
310875网络监视器捕获实用工具的说明


属性

文章编号: 812953 - 最后修改: 2012年9月30日 - 修订: 5.0
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
关键字:?
kbhowtomaster kbmt KB812953 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 812953
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com